Порт USB — одна из главных уязвимостей в ПК. Компьютер слепо доверяет любому USB-устройству, открывая двери для широкого спектра атак. Выдавая себя за клавиатуру, хакерский USB-гаджет способен в течение нескольких секунд изменить множество системных настроек.

В последнее время на рынке появляются гаджеты, изначально «заточенные» на автоматический взлом по USB, так что не нужно самостоятельно заменять прошивку и мучиться с настройками. Всё работает, как говорится, из коробки.

Два из недавних примеров таких устройств — USBdriveby и Teensyterpreter. Что характерно, оба прибора сделаны на крошечной dev-плате Teensy. При подключении к компьютеру они выдают себя за Human Interface Device, эмулируя клавиатуру и мышь.

003

005

004

USBdriveby спроектирован специально для атаки на OS X. После подключения он меняет настройки DNS-сервера на произвольный IP-адрес (для дальнейшего DNS-спуфинга). Такое возможно под OS X без ввода пароля, только с помощью эмуляции устройств ввода. Утилита AppleScript устанавливает окно системных настроек в нужные координаты на экране, а потом USBdriveby нажимает на кнопочки в нужных местах.

Когда DNS-сервер изменился, открывается обратная оболочка через netcat для удалённого исполнения кода.

Teensyterpreter открывает обратную оболочку под Windows (через Powershell). Процесс занимает не более минуты.

17 комментариев

  1. Аватар

    22.12.2014 at 14:36

    Случаем не этот девайс воткнули Томасу Уайту в сервак в предыдущей статье))))))

    • Аватар

      22.12.2014 at 14:42

      Если честно, из предыдущей статьи я мало что понял.

      • Аватар

        22.12.2014 at 14:46

        Я понял что ему какой подширнули usb-чудо девайс…. и понеслось)))

      • Аватар

        https://vk.com/dolmatov_aleksey

        22.12.2014 at 15:18

        Был взлом физическим доступом к серверу по USB порту одного таким или схожим устройством

        • Аватар

          22.12.2014 at 15:29

          Что сразу же вызывает вопрос: а где в это время был он сам? Если админил по удалёнке, то что это за центр, где можно вот так просто вскрывать корпуса серверов и втыкать USB-девайсы?

          • Аватар

            https://vk.com/dolmatov_aleksey

            22.12.2014 at 15:33

            Сам в шоке и «непонятках»

          • Аватар

            22.12.2014 at 17:32

            Ну вариантов то несколько..сервера стоят там, где еще чьи то (потому доступ был не только у него), сторож «бабуля»))..кто то из «своих» у кого есть доступ физически к серверам «продал»…вариантов тьма….

  2. Аватар

    24.12.2014 at 01:52

    И как я понял до сих пор нет чёткого плана по распознаванию перепрошитых USB устройств. То-есть так сказать купи Teensy установи эмулятор и наслаждайся. Вскоре можно ожидать и кучу инструментов для этой «операции» с различными возможностями от эмуляции клавиатуры мыши до эмуляции биометрических устройств. И поднимется великий вопль у Касперского и плачу не будет конца у McAfee и робот Eset разжавеетот солёных слез.

    • Аватар

      24.12.2014 at 11:56

      Зачем их распознавать, если можно ограничить HID-устройства «белым списком»? И никаких чудес.

      • Аватар

        25.12.2014 at 00:11

        Создав «белый список» мы в действительности создадим свободный путь для злоумышленника.
        В чем состоит проблема о которой эта статья ? Есть USB устройство скажем клавиатура. Есть USB флеш память которая может быть в реальности устройством в виде Teensy. И так мы подключаем USB флеш память, а она как клавиатура подключается к компьютеру и выполняет определённые действия. В этом и состоит опасность.
        Так если мы создадим «белый список» то что будет мешать нам эмулировать именно это устройство из «белого списка». Например есть клавиатура из «белого списка» — так мы будем эмулировать именно её. Белый список однозначно не решение.

        • Аватар

          25.12.2014 at 12:36

          Простите, а как Вы собираетесь это сделать? Для того, чтобы эмулировать нужный девайс, нужно, как минимум, знать его VID и PID. А эти данные USB-концентратор устройствам не сообщает. Единственная возможность — это прикинуться клавиатурой во время загрузки, а это очень тернистый путь.

  3. Аватар

    25.12.2014 at 15:55

    кто знает где можно приобрести подобный девайс, только что бы он был в нормальной привычной оболочке флешки ( не привлекал так внимание =)) )??

  4. Аватар

    25.12.2014 at 15:57

    вы охренели удалять коментарии???

  5. Аватар

    25.12.2014 at 15:58

    какого хрена?? можете написать??

  6. Аватар

    26.12.2014 at 08:05

    AppleScrip не будет работать в 10.9 and 10.10 т.к. там нужна прописка в FireWall, а это уже защищено паролем, так что статья уже не действительна.

  7. Аватар

    07.01.2015 at 22:09

    Где их можно приобрести ?

Оставить мнение